Здравствуйте! На днях заметил на диске С папку с именем из набора цифр и латинских букв (например 7a6vHav3hoMzgRQ), внутри файл klpclst.dat. После удаления папка появляется вновь, но уже с другим именем. Заметил, что она появляется при запуске некоторых программ (Total-а и Opera). Иногда в total-е исчезает содержание диска С, но после удаления этой папки через "Мой компьютер" всё появляется обратно. CureIt нашёл несколько инфицированных файлов и удалил, но это не помогло: папка с klpclst.dat появляется вновь. После появления данной папки стали зависать некоторые приложения (не отвечают): total при копировании, kmplayer, блокнот, в среднем комп стал хуже "соображать". Переустановил бы систему, тем более что она без последних обновлений и захламлена, но боюсь, что вирус остался на дисках D и E и может снова захватить переустановленную систему, поэтому решил обратиться к Вам за помощью. Очень на Вас рассчитываю!

Сейчас посмотрю логи.

Отключите:
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, меню Файл\Выполнить скрипт)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFileF('C:\Documents and Settings\Администратор\Application Data\MicroST', '*.*', true, '', 0, 0);
QuarantineFileF('C:\Documents and Settings\Администратор\Application Data\BNkzjIFsaeZiofM', '*.*', true, '', 0, 0);
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\MicroST', '*.*', true);
DeleteFileMask('C:\Documents and Settings\Администратор\Application Data\BNkzjIFsaeZiofM', '*.*', true);
DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\MicroST');
DeleteDirectory('C:\Documents and Settings\Администратор\Application Data\BNkzjIFsaeZiofM');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(10);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.



ПК перезагрузится. Выполните скрипт в AVZ:


begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.


Архив quarantine.zip из папки с AVZ отошлите через веб-форму (http://www.oszone.net/virusnet/).


Скачайте ComboFix по одной из этих ссылок. Сохраните программу на рабочий стол.

ComboFix.exe (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
ComboFix.exe (http://subs.geekstogo.com/ComboFix.exe)

Важно! На время работы программы отключите всё защитное программное обеспечение.
Дважды щёлкните по значку, чтобы запустить программу. Убедитесь, что все остальные программы закрыты.
Во время работы ComboFix не нажимайте кнопки мыши, это может стать причиной зависания программы.
Когда сканирование завершится, файл C:\ComboFix.txt прикрепите к сообщению.

прим. В случае, если ComboFix не запускается, переименуйте combofix.exe в svchost.exe

Огромное Спасибо за помощь!
Выполнил скрипты в AVZ, отослал архив quarantine.zip

А вот с ComboFix возникли некоторые проблемы. На втором шаге (stage 2) вылетело окно (1.jpg) информирующее, что в системе отсутствует Microsoft Windows recovery console и, что эта консоль нужна и ComboFix загрузит её был бы интернет, я нажал "Ок". Но интернет я не смог подключить: выходило окно "ошибка подключения", вышло новое окно (2.jpg) о неудаче загрузки требуемых файлов, нажал "Ок" и сразу ещё одно окно (3.jpg) "Ошибка приложения", нажал "Ок". Потом всё пошло дальше в самом конце после выполнения 50 шагов ещё вылезло 2 окна (4.jpg) и (5.jpg). Работу ComboFix завершил нормально без обрыва.

И, что радует злосчастная папка с klpclst.dat перестала появляться при запуске total-а!!!

Проблема не исчезла! После перезагрузки папка с klpclst.dat появилась вновь, но стала скрытной т.е. её видно только если в total-e зайти в папку "мой компьютер" и из неё на диск С, через некоторое время она снова скрывается. Ещё исчезла языковая панель... :search:

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\PYHLownUthE.exe

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Всё сделал, на этот раз не стал отключать интернет и Microsoft Windows recovery console успешно установилась. На 2-ом шаге снова вылезло окно (3.jpg в сообщении #4). В конце компьютер перезагрузился и после ComboFix создал отчёт.

Благодарю Вас, что уделяете мне своё время!

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::
c:\documents and settings\Администратор\Главное меню\Программы\Автозагрузка\PYHLownUthE.exe

Folder::
C:\7a6vHav3hoMzgRQ
c:\documents and settings\Администратор\Application Data\7a6vHav3hoMzgRQ

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Всё сделал, окно "Ошибка приложения" так же вылезло на 2-ом шаге, остальное всё нормально.

Уже лучше, теперь по порядку:

Первое: Файл c:\windows\system32\srsvc.dll проверьте на Virustotal результат сообщите

Второе: Скопируйте текст ниже в блокнот и сохраните, как файл, с названием CFScript.txt на рабочий стол:

DeQuarantine::
C:\Qoobox\Quarantine\C\windows\system32\msconfig.exe.vir
C:\Qoobox\Quarantine\C\windows\system32\odbcad32.exe.vir

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe"
Quit::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe:

http://safezone.cc/images/cfscript.gif

Когда ComboFix завершит работу, то создаст в корне системного диска лог DeQuarantine.txt, содержимое которого необходимо скопировать в свое сообщение.

Третье: Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)

Четвертое: подготовьте новые логи AVZ и RSIT по правилам.

Файла c:\windows\system32\srsvc.dll нет, может c:\WINDOWS\system32\srvsvc.dll ? Результат проверки srvsvc.dll:

SHA256: 42051b85fe33cfcfef98a8326c1029196625ff4500472f0f4b02437f81f2eca5
File name: srvsvc.dll
Detection ratio: 0 / 43
Analysis date: 2012-02-09 13:44:51 UTC ( 1 минута ago )

Содержимое DeQuarantine.txt:

C:\Qoobox\Quarantine\C\windows\system32\msconfig.exe.vir -> C:\windows\system32\msconfig.exe ( 196608 bytes )
C:\Qoobox\Quarantine\C\windows\system32\odbcad32.exe.vir -> C:\windows\system32\odbcad32.exe ( 45056 bytes )

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол

SRPeek::
c:\windows\system32\srsvc.dll
c:\windows\system32\proquota.exe

Quit::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.

Сделал, в этот раз на 5 шаге вылезло окно: "Исключение unknown software exception (0x40000015) в приложении по адресу 0x0048d1c0." Потом всё нормально завершилось.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол

DeQuarantine::
C:\Qoobox\Quarantine\C\windows\system32\msconfig.exe.vir
C:\Qoobox\Quarantine\C\windows\system32\odbcad32.exe.vir

Ignore::
C:\windows\system32\msconfig.exe
C\windows\system32\odbcad32.exe

SRPeek::
c:\windows\system32\srsvc.dll
c:\windows\system32\proquota.exe

MIA::
c:\windows\system32\srsvc.dll
c:\windows\system32\proquota.exe

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe
http://safezone.cc/images/cfscript.gif
Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.

Сейчас на 2-ом шаге: "исключение неизвестное программное исключение (0x0000417) в приложении по адресу 0x00481dc9." Благодарю за помощь!

Как самочувствие системы?

Думаю, что всё хорошо, после такого лечения =) Новых папок с этой бякой не видно! Ну а на самом деле только Вы можете сказать, вот и жду окончательный диагноз =)

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Ознакомьтесь с этими рекомендациями:

http://forum.oszone.net/post-1838507-9.html

И смените все пароли

Всё замечательно, премного благодарен! Здорово, что есть такой форум и такие люди =)